HTTP Strict Transport Security

转载 2012年01月31日 13:04:30

它的作用是,对某些站点,当用户在浏览器输入不带协议的网址的时候,自动识别协议为https,而不是http。

例如用户输入paypal.com,浏览器会自动访问https://paypal.com,而不是http://paypal.com。当然,即使你的浏览器不支持HSTS,paypal也会自动跳转到https。

那么如何让自己的站点支持HSTS呢?只要在自己的站点的HTTPS响应的HTTP头里,加上下面这行即可

Strict-Transport-Security: max-age=16070400; includeSubDomains

当浏览器看到这个HTTP头,则会把当前站点加入HSTS列表。max-age和includeSubDomains的作用你们懂的。

根据Chrome的说明,当前支持HSTS的有Chrome和Firefox(版本>=4),我并没有去测试。

另外,Chrome自带一个默认的HSTS列表,paypal.com、lastpass.com、market.android.com等网站都列在里面。当前(Chrome16)这个列表是硬编码在Chrome的源代码(http://src.chromium.org/viewvc/chrome/trunk/src/net/base/transport_security_state.cc?view=log)里的。将来可能会把这个列表类似safe-browsing那样让不同的浏览器共享。

如果你想把自己的站点添加进Chrome的这个列表里,可以电邮

其实,大部分对安全有要求的站点,都会在服务器端自动识别协议,强制跳转到https。对这些站点来说,HSTS的作用只是让你少了一次HTTP请求而已。而在某些情况下,由于Set-Cookie、浏览器版本以及安全设置的因素,导致这个HTTP会发送HTTPS下所设置的cookie,存在安全隐患。除此之外,HSTS似乎没什么作用了。

另外我看了一下,alipay是没有发送Strict-Transport-Security头的。而paypal和lastpass都发送了这个头。

HSTS - HTTP Strict Transport Security

https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security HTTP Strict Transport Security...

HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一)

// HTTP strict transport security (HSTS) is defined in // http://tools.ietf.org/html/ietf-websec-st...

错误:app Transport Security has blocked a cleartext HTTP......

在Xcode7中,苹果将 http 协议改成了 https 协议,使用 TLS1.2 SSL加密请求数据,因此在模拟器上运行程序时,要是程序还是使用的 http 协议就会报下图中的错误: ...

Xcode7报App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insec

关于Xcode7之后网络访问的权限

“App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure. T

Xcode7运行一下代码时// 确定要访问的资源--URL NSURL *url = [NSURL URLWithString:@"http://m.baidu.com"]; // 建立...

App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure 解决

做项目的时候经常会用到网络请求,因此AFNetworking这个插件可谓是非常好用,但是在升级之后,再用AFNetworking会报如下警告,表示不能对网络进行请求: App Transport Se...

iOS: App Transport Security

编写了一个简单的Demo,其中一个界面中WebView控件需要进行网络连接,但程序运行时出错: App Transport Security has blocked a cleartext HTTP ...

如何应对IOS(苹果)强制启用 App Transport Security(ATS)安全功能

最近看见苹果下发的通知是关于所有iosapp都要使用安全的https链接与服务器进行通信的,并且是2017年1月1日开始执行(虽然后期另行通知是时间有所推迟),那也是早晚的事了。    苹果要求的安...

Configuring App Transport Security Exceptions in iOS 9 and OSX 10.11

What is App Transport Security (ATS)?At WWDC 2015, Apple announced “App Transport Security” for iOS ...

iOS 9 App Transport Security

原创Blog,转载请注明出处 http://blog.csdn.net/hello_hwc?viewmode=list前言:iOS 9新增了一个特性叫做App Transport Security。...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:HTTP Strict Transport Security
举报原因:
原因补充:

(最多只允许输入30个字)